医疗机构数据安全隐患涵待关注

【HC3i独家翻译】根据Deloitte医疗解决方案中心的一份报告称，医疗资源不足、病人信息的内部控制体系和医院人力培训制度的缺失使许多医疗机构在面临隐私、安全风险和医疗欺诈问题上准备不足，经验欠佳。该报告敦促医疗机构领导人立即采取行动，保护病人的数据，保护医院的品牌，避免因安全漏洞相关的处罚付出高昂代价。

“医疗行业正在过渡并开始大规模广泛应用电子健康记录，而临床数据库、家庭监控和远程医疗都有很大的概率发生数据泄露、数据欺诈、身份盗窃从而造成医疗欺诈和纠纷案件，”Deloitte医疗解决方案中心执行董事Paul Keckley说，“医疗欺诈是一个严重的问题，我们调查的67%的消费者认为欺诈行为抬高了医疗总费用并产生了重大负面影响。”

这份题为《医疗护理界的隐私和安全》的报告，重新审视并确定了医疗隐私和安全漏洞带来的风险。它为健康计划、生命科学组织、医疗信息技术解决方案供应商和联邦及州卫生机构等部门提供了具体指导，以帮助减少潜在的隐私和医疗改革后网上健康信息交换所带来的安全威胁。

Deloitte指出了一些部门在隐私保护和安全风险应对方面的准备不足，在一些医疗机构，包括内部（人力资源和资本部门）缺乏高层管理人员，缺乏对患者信息的控制，而过时的政策程序有法不依和人员培训不足等现象也十分突出。

“一个安全漏洞不仅会挑衅公司的底线，也会给其品牌声誉带来影响，”Deloitte董事会副主席Rudish认为。“作为医疗机构，充分利用健康信息的同时，还必须对高级管理人员进行培训，以他们为主导，在董事会批准的隐私和安全风险下计划审计现行政策、法规和规章。”

隐私和安全法规历来注重内部安全，根据该报告，在新标准下，问责制度已经扩大到下游实体。由于医疗护理服务正在过渡到基于绩效的薪酬，因而增加了透明度，电子健康档案和个人健康记录中将应用新的隐私和安全使用规则，其条例、法律和标准将被添加到每一个组成部分中。

Deloitte的报告概述了医疗护理行业如何评估其在三个关键领域目前的准备工作：

风险管理 -帮助识别和评估数据安全风险并制定相应的安全控制策略，以减轻或避免风险。这使得医疗机构可以就如何分配资源，以提高数据安全保护做出决定。

安全和隐私计划- 制定和实施政策、程序和培训需求以减轻或避免风险。这有助于创造一个标准，以确保病人敏感信息和隐私安全的正确处理。

符合性 -验证机构符合其政策和标准。这有助于降低组织风险，通过组织对个人健康信息的保护取得客户的信任和信心，并降低因故意忽视而受到的潜在经济处罚风险。

调查中超过一半（57％）的消费者希望可以通过互联网直接连接到医生的办公室，三分之一（33％）的患者关注网络就诊时的隐私和安全，其反映了维护消费者个人健康信息的重要性。

“医疗行业利益相关者应立即采取行动，防止泄露敏感病人的数据，维护品牌价值，并避免大量因违法行为而受到财政处罚的事情，”Keckley总结道，“通过技术能力的不断建设、预防，监督和纠正违规数据，对拨出资金保障落实，医疗行业就可以对抗和遏制这一日益严重的挑战，同时也解决病人的需要，提高护理质量。”

原文标题：Healthcare organizations at risk for more breaches

原文作者：Bernie Monegain